This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Outbound mail not being delivered since update to 9.100-16

I upgraded to 9.100-16 on May 15, 2013 at 12:21am and since then outbound emails originating from either the UTM box (home user license) or the internal network are being held up in SMTP Spool.

According the the SMTP Proxy log:

2013:05:17-11:18:02 myUTMhostname exim-out[2083]: 2013-05-17 11:18:02 1UcfXE-0001yu-4x Remote host smtp.hot.glbdns.microsoft.com [65.55.162.200] closed connection in response to AUTH PLAIN 

2013:05:17-11:18:02 myUTMhostname exim-out[2082]: 2013-05-17 11:18:02 1UcfXE-0001yu-4x == myemail@gmail.com R=smarthost_route T=smarthost_smtp defer (-18): Remote host smtp.hot.glbdns.microsoft.com [65.55.162.200] closed connection in response to AUTH PLAIN

I looked at the thread by Firestorm entitled "Inbound mail not being delivered since update to 9.100-16" created yesterday at 3:06am. The post by BALfson to add a host to skip TLS negotiation hosts/nets did not help me (it was a long shot since the errors noted by Firestorm was not the same).

My email on the UTM is setup so that all SMTP traffic is intercepted (Transparent mode) defined in Email Protection: SMTP: Advanced. I defined a smarthost to use smtp.live.com on port 587 set to require authentication with my username and password filled in. I do not have the Management: Notifications: Advanced: External SMTP server status enabled.

This setup has been working in version 9.006.005 and stopped working immediately after 9.100-16 so that not even the UTM could email me letting me know the firmware was applied successfully.

Is this a bug and is there a workaround?

Thank you.


This thread was automatically locked due to age.
  • I think this is the same bug, just in a different manifestation.  I'm guessing that it's a "broken" CA and that Microsoft therefore doesn't trust your self-signed certificate.  If you want to try an experiment...

    Start by making a backup so you can easily undo the changes!

    On the 'Advanced' tab of 'Certificate Management', regenerate the Signing CA.  Did that fix the problem with sending mail to Microsoft?

    If it did, then you will need to decide whether to restore from the Configuration Backup or work on any affected Site-to-Site VPN and Roadwarrior connections as indicated in the Caution! on the 'Advanced' tab.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Unfortunately, the regenerate certificate that Bob suggests to try did not regenerate the WebAdmin certificate for myUTMhostname. It remains as the original generate date (when I did a clean install in Oct 2012). The webadmin cert shows it is being used in:
    Email Protection → SMTP → Advanced
    Management → WebAdmin Settings → HTTPS Certificate

    All the other certificates (my users cert and local x509 cert) shows that it regenerated. But those are just used for VPN which naturally does not work anymore. I am going to restore to my backup to get my certs back on the UTM. 

    I do have another similar UTM 9.100-16 (setup with smtp proxy and smarthost as mentioned in my original post) that I upgraded a day ago that does not have the same problem (outgoing emails work fine). The only difference between the working and non working UTM is that the working one uses smarthost of gmail on port 587 whereas the nonworking one uses Microsoft on port 587.

    After I restore my config (to get my VPN certs back), I am going to setup smart host for gmail to see if that works.

    Is that a clue?
  • I was able to restore the config and then thought that I could just regenerate the webadmin certificate. So I created a new 2048bit (the original one was 1024) with similar parameters and then selected it for webadmin to use and for SMTP under Advanced under the TLS Settings: TLS certificate.

    I tried to resend a spooled email and still no dice - same "closed connection in response to AUTH PLAIN".
  • Slightly different message when I specified smtp.live.com as a host to skip TLS negotiation under Email Protection: SMTP:Advanced: 2013-05-17 15:35:05 myemail@gmail.com R=smarthost_route T=smarthost_smtp defer (-42): authentication required but server did not advertise AUTH support
  • Yeah, I think the only place you will be able to send without TLS is to your own mail server that you control and you disable TLS there.

    You're right about the WebAdmin Cert being the right one and that it isn't also updated - I didn't think about that.  The experiment with a new CA would have to include your step of renewing the WebAdmin cert.

    Then again - I wonder if it isn't the 'Signing CA' on the 'HTTPS CAs' tab of 'Web Filtering' that needs to be regenerated before the WebAdmin cert is regenerated?  If you aren't using 'Scan HTTPS (SSL) Traffic', then there would be no disruption caused by trying this first.  If you don't have a Web Protection subscription, ask your reseller to get you a one-week demo license that includes it.  Install that license, run the test, install your real license.

    Interesting problem.  Since you have a paid subscription, I think this is worth an "Urgent" ticket to Sophos Support.  My gut tells me that there's a bug in the upgrade process that's only experienced by a few sites.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • All outgoing emails are working now since I changed the smart host from using smtp.live.com to smtp.gmail.com on port 587. No change to certificate or any other setting was done. I was planning to move away from Microsoft anyways.

    So why would upgrading to 9.100-16 suddenly break TLS with just Microsoft? Anyone else seeing this?
  • Cool!  Please [Go Advanced] and attach a pic of your Smart Host setup in WebAdmin.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob, thanks for your help, but I don't think I have a paid subscription since I just have a home user license (50 IP max). According to the Management: Licensing page, I have Standard Support. Can I still file a bug report or create a ticket with Sophos support?
  • It is a shame that the UTM does not allow a DNS group for the smart host host. I have attached my redacted screenshot.
  • I did a clean install of 9.006-5 from ISO and then applied my backup from before doing the 9.100-16 upgrade. After fiddling with the interfaces (since UTM arbitrarily defines the eth as it sees fit and not according to my restore), I confirm that outbound email functions correctly again with Microsoft.

    So it looks like 9.100-16 does not agree with microsoft smarthost (smtp.live.com).

    I was forced to do this restore to 9.006-5 (even though I found a workaround of using another outgoing smarthost mail provider - gmail) because my iOS Youtube app stopped working for a lot but not all youtube videos ("playback error"). The only workaround for that was to put the iOS device into the skip transparency list - but that's for another thread that I will have to start.